皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の今日、WordPressの更新版であるWordPress4.8.3が公開されました。

今日はそのニュースをお伝えします。

WordPress4.8.2以前は影響を受ける

WordPressのニュースを見ると、以下のことが書かれています。

WordPress 4.8.3 is now available. This is a security release for all previous versions and we strongly encourage you to update your sites immediately.

（WordPress 4.8.3が利用可能になりました。 これは以前のすべてのバージョンのセキュリティリリースであり、すぐにサイトを更新することを強くお勧めします。）
WordPress versions 4.8.2 and earlier are affected by an issue where $wpdb->prepare() can create unexpected and unsafe queries leading to potential SQL injection (SQLi). WordPress core is not directly vulnerable to this issue, but we’ve added hardening to prevent plugins and themes from accidentally causing a vulnerability.

（WordPressのバージョン4.8.2以前では、$ wpdb-> prepare（）がSQLインジェクション（SQLi）の可能性がある予期しない安全でないクエリを作成できるという問題があります。 WordPressのコアはこの問題に直接的に脆弱ではありませんが、プラグインとテーマが誤って脆弱性を引き起こすのを防ぐため、強化を加えました。）

WordPressの更新を自動更新にしている場合は自動的にメンテナンスされますが、自動更新を停止している場合は早めに更新をされることをお勧めします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本においては昨日、WordPressの更新版WordPress4.8.2が公開されました。

今日はそのニュースをお伝えします。

WordPress4.8.1以前は影響を受ける

WordPressのニュースを見ると、以下のことが書かれています。

WordPress 4.8.2 is now available. This is a security release for all previous versions and we strongly encourage you to update your sites immediately.

（WordPress 4.8.2が利用可能になりました。これは以前のすべてのバージョンのセキュリティリリースであり、すぐにサイトを更新することを強くお勧めします。）

WordPress versions 4.8.1 and earlier are affected by these security issues.

（WordPressバージョン4.8.1およびそれ以前のバージョンは、次のセキュリティ問題の影響を受けます。）

これに続き、9つの影響内容が書かれており、SQLインジェクションの脆弱（ぜいじゃく）性と複数のクロスサイトスクリプティング（XSS）の脆弱性に対する修正が行われています。

これらの脆弱性が悪用された場合、Webサイトをリモート制御されてしまう可能性もあるとしているセキュリティ機関もあります。

WordPressの更新を自動更新にしている場合は自動的にメンテナンスされますが、自動更新を停止している場合はすぐに更新をされることをお勧めします。

また、自動更新にしている場合であっても管理画面にログインし、アップデートの確認だけはされた方が良いでしょう。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

冒頭でお書きしたことは、特にWordPressなどのオープンソースのCMSツールを使っている場合のことを意味しています。

以前もWordPressアップデート不可の記事にて書かせていただきましたが、いくつかの理由でWordPressは定期的にアップデートされています。

セキュリティ関連の修正も含まれているため本来はアップデートを行った方が良いわけですが、レンタルサーバーが対応していないなどの理由によりアップデートができないケースが存在するのも事実です。

そのような場合はどのような方法にて対処するのが良いのか？

WAFを用いたセキュリティ対策

アップデートができない以上、何らかの対策を行っていないとウェブが非常に危険な状態にさらされることは言うまでもありません。

その場合、WAF（ウェブアプリケーションファイアウォール）というものを使ってウェブアプリケーションの脆弱性を補っておくことが望ましいです。

このWAFは、通常のファイアウォールやIPSでは対処できない『SQLインジェクション』や『クロスサイトスクリプティング』などの攻撃からウェブアプリケーションを守ってくれるもので、ウェブアプリケーションの脆弱性対策アップデートが行えない以上、これくらいのことをしておくくらいしか正直手段がありません。

レンタルサーバーと自社サーバー

レンタルサーバーの場合、探せばオプションとしてWAFが使えるところはありますので、アップデートができない場合はこのようなオプション契約をされることをお勧めします。

費用的には月額500円程度で利用可能でしょう。

また、自社サーバーの場合はUTMなどの統合型セキュリティを導入されることが望ましいです。

ウェブアプリケーションそのものは脆弱性対策がとられていたとしても攻撃を受けないわけではありませんので、被害の確率を減少させるためにもUTMなどは導入していただきたいものです。

皆さん、こんにちは。

業務コンサルタントの高橋です。

冒頭に書きました訴訟事件は実際に起きたもので、概要としては以下のようになります。

損害賠償請求訴訟事件の概要

A社が運営するECサイト（インターネット通販）に対し、外部からの不正アクセスによって数千件のクレジットカード情報が漏えいした。これを受けてECサイトを運営するA社は、顧客への謝罪・対応、情報漏えいの調査費用、売上減少の損害などに関し、ECサイトを製作したB社に対して債務不履行であるとして損害賠償請求訴訟を起こした（損害賠償請求額は約1億円）。

裁判の結果は、原告であるA社の勝訴となった（損害賠償金が認められたのは約2,000万円強）。

裁判所の判断

クレジットカード情報が漏えいした理由として、ウェブアプリケーションがSQLインジェクションに対して脆弱であったことが認められ、現に、ログ調査の結果としてSQLインジェクション攻撃にて外部との通信が成功したことを示すコードも残されていた。

また、当時の技術水準に基づく個人情報漏えいを防ぐために必要なセキュリティ対策を施したプログラムを提供すべき債務の不履行は認定され、クレジットカード情報の削除設定や暗号化保存すべき債務、システム開発会社が運営会社に対する説明債務の不履行は認定しなかった。

債務不履行が認められた理由

当時の技術水準に沿ったセキュリティ対策を施したプログラムを提供することが黙示的に合意されていたと認められ、個人情報の漏えいを防ぐために必要なセキュリティ対策を施したプログラムを提供すべき債務を負っていたと解するべきとされた。

また、経済産業省は、平成18年の時点において、SQLインジェクション対策の措置を重点的に実施することを求める旨の注意喚起をしており、エスケープ処理を施した、またはバインド機構を使用したプログラムを提供する債務を負っていたということができるが、いずれも行われていなかった部分が存在した。

訴訟判決から言えること

内容的には随分簡略化して書かせていただきましたが、この判決から言えることとして、契約事項の有無に関わらず、システム開発におけるセキュリティ対策の重要性を忘れてはならないということ。これはシステム開発業者に限った話しではなく、依頼する側も同様にセキュリティに対する認識を持つ必要性がある。

ちなみに、SQLインジェクション攻撃への対策を取ることに、多大な労力や費用がかかることをうかがわせる証拠はなく、流出という結果を回避することは容易であったことが判決内容中にあります。